Para gerenciar ativos digitais de forma estratégica é preciso unificar a terminologia segundo as normas internacionais. Confundir esses termos compromete a análise quantitativa e qualitativa de riscos.
Framework de avaliação de riscos (ISO/IEC 27005 · NIST SP 800-30)
Para gerenciar ativos digitais de forma estratégica é preciso unificar a terminologia segundo as normas internacionais. Confundir esses termos compromete a análise quantitativa e qualitativa de riscos.
Fraqueza ou brecha em um ativo que pode ser explorada. Não causa dano sozinha.
Causa potencial de um incidente indesejado; a força com potencial agressivo.
A materialização da ameaça: ação deliberada que explora a vulnerabilidade.
Evento que compromete a confidencialidade, integridade ou disponibilidade (tríade CID).
Probabilidade de uma ameaça explorar uma vulnerabilidade e gerar impacto.
Severidade da perda caso o incidente ocorra: financeira, operacional, legal, reputacional.
Vulnerabilidade é a brecha; ameaça é quem pode explorá-la; ataque é a ação; incidente é o evento que compromete a tríade CID; risco é a probabilidade × impacto; impacto é a severidade da perda.